问题标签 [identity-aware-proxy]

有没有办法为对 App Engine 实例的 SSH 访问启用多重身份验证？我发现的所有内容都指向“操作系统登录”，但它似乎只适用于计算实例。

我知道我可以为组织启用 MFA，gcloud CLI 将强制 MFA 进行初始身份验证，但我希望每次启动 SSH 连接时都进行 MFA 检查。

这个问题困扰我很久了，累死了。。。

当我的 Web 应用程序调用受 IAP 保护的 API 端点时，我收到以下错误： No 'Access-Control-Allow-Origin' header is present on the requested resource.. 有趣的是预检请求和 GET 请求可以工作。

失败的请求是一个 POST content-type: multipart/form-data（我正在上传一个文件）。我一直认为我的 API 有问题，但我在响应中看到了这个标头：x-goog-iap-generated-response: true根据文档，这个响应是由 IAP 生成的。

我找不到任何解决这个问题的方法，我修改了我的 IAP 选项：

它仍然不起作用。我在这里想念什么？

背景： 我有一个以前在 VPN 后面运行的 API。它为某些路径自行实现 JWT 身份验证的 API，因此我们必须附加：

我们只是更新了我们的 API 以在 Google Identity Aware Proxy 后面运行，并遵循此处的官方文档。除了需要 JWT 身份验证的每条路径外，一切都运行良好。IAP 机制还使用：

并将覆盖现有的Authentication:标题。在不更改现有代码的情况下有任何建议吗？

谢谢你。

我想访问部署在 GCP 上且位于 Identity-Aware-Proxy (IAP) 后面的网站 REST API。我只需要能够从我的本地计算机访问，我不能使用服务帐户密钥来实现这一点。

我尝试使用gcloud auth login并gcloud auth application-default login设置 application_default_credentials，然后调用 Oauth2 端点来获取 id_token。

无论我尝试什么，我都会不断收到错误“观众客户和客户需要在同一个项目中”。

我在默认凭据中的 client_id (74XXXXXXX) 和 IAP 的 client_id (73XXXXXXX) 不匹配，但它们都使用相同的 GCP 项目。

一直在使用 Python 示例（如何使用用户默认凭据以编程方式对 Cloud Identity-Aware Proxy (Cloud IAP)-secured 资源进行身份验证？）问题：

任何想法如何通过本地用户凭据传递 IAP？

我了解 App Engine 实例的可配置性有限，但当它们处于调试模式时，可以通过 SSH 访问它们。在这种情况下，我们通过以下方式连接它们：

我们希望将 Cloud IAP 添加到组合中。我读过的所有内容都表明应该对流量的终点完全透明。IAP 不会终止 ssh 连接，它只是决定是否将流量传递到目的地或丢弃。因此，我们无法更改实例的内部 SSH 配置应该不是问题。如果它现在工作，它应该在通过 IAP 隧道时工作。

但是我发现的所有说明都只讨论了为计算实例设置它，并连接到：

gcloud app instances ssh不支持--tunnel-through-iap参数。App Engine 应用不会作为资源显示在 Identity-Aware Proxy 管理页面的“SSH 和 TCP 资源”部分中，仅显示在“HTTPS 资源”下。

这真的不可能吗？如果是这样，为什么不呢？如果 IAP 对网络流量像预期的那样透明，那么它应该不需要 App Engine 端的任何特殊支持。

我创建了一个谷歌应用引擎项目，其服务受 IAP 保护。

我了解如何使用签名的标头来获取经过身份验证的用户的身份。但是我将如何检索他们的 OAuth 2.0 凭据？

任何其他实现此目的的方法（使用 GCP）的建议也将不胜感激。

IAP 允许您通过使用roles/iap.httpsResourceAccessor. 如果我在 IAM 中有一个名为的组participants并将外部人员（个人 gmail 帐户和承包商）添加到该组，这些人是否可以访问我的应用程序？或者我是否必须提交申请以进行验证，即使我想限制我们的员工和参加研讨会的几十名客户的访问权限？

换句话说，IAP 是否将“组织中的人员”定义为@myorg.com仅拥有电子邮件地址的人员或属于具有 IAM 权限的组的人员？

目前是否可以在 GCP 中以编程方式启用 iap.googleapis.com？

当我们目前在terraform中配置iap服务时，它似乎并没有完全启用。

当我在 gcp 控制台中访问 IAP 页面时，它告诉我：

“在您可以使用 IAP 之前，您需要配置您的 OAuth 同意屏幕。”

Terraform 似乎没有更改此选项的选项 - 是否有我们可以手动调用的 api，或者我们无法自动化这部分？

谢谢

我在云运行下有一个 API。我的云运行服务位于负载均衡器后面。

我想打开一个从我的前端应用程序到我的 API（wss 协议）的套接字连接。
当我使用云运行服务 url 时，它可以工作，但是当我使用我的自定义域名时，我收到一个错误“未定义”并且连接立即关闭。没有日志，让我很难调试。

由于我想将我的入口权限限制为允许内部流量和来自 Cloud Load Balancing 的流量，因此我无法使用云运行服务 URL。

在我的负载均衡器上，我的前端使用的是 HTTPS 协议。

我不明白是什么阻止了我的套接字连接。请询问任何细节或进一步调查。因为我不知道从哪里开始我的调查，所以我很难写出一篇好文章。

更新

如果我使用“全部允许”下的云运行 url 进行连接，它可以正常工作，正如我所说的那样。但我注意到另一种行为。如果我使用云运行 url 进行第一次连接，然后尝试在同一浏览器上使用我的自定义域 url 进行连接。它可以工作，而如果我在另一个浏览器或私人窗口上执行相同的操作，它会失败并显示 302 状态代码。

更新

因此，禁用 IAP 似乎允许我的前端打开到我的 API 的 websocket 连接。

现在我正在尝试找到一种方法来做同样的事情，但要激活 IAP..

谢谢

我正在尝试通过 IAP 隧道连接到虚拟机，我需要先打开隧道我可以使用 gcloud CLI 来完成，但是我想通过 python 脚本来完成，可能不必求助于运行带有子进程库的 bash 命令

有人知道是否有允许我打开 IAP 隧道的 python 库吗？

谢谢